edición general
365 meneos
7924 clics
El falso SMS de Fedex lleva detrás un sofisticado y peligrosísimo virus de Android: cómo funciona

El falso SMS de Fedex lleva detrás un sofisticado y peligrosísimo virus de Android: cómo funciona

Este fue el caso de los suegros de Feyman, un usuario de Forocoches, que de la noche a la mañana perdieron todos sus ahorros de su cuenta de Ibercaja, nada menos que la friolera de 50.000 euros según ha explicado este usuario con varios detalles en dicho foro. Hemos tratado de ponernos en contacto con él sin haber recibido respuesta en el momento de la publicación de este artículo.

| etiquetas: sms , fedex , android , correos , banco , virus , troyano , dinero
Comentarios destacados:                    
#4 #3 Es que a quien han robado es al banco.

El banco contrae una deuda con el cliente cuando éste les entrega dinero y solo puede reducirse esa deuda si el titular retira el dinero o el titular indica que hay que traspasarlo a otra persona.

Cualquier facilidad que ponga la banca para hacer eso sin verificar presencialmente que es el titular quien lo ha ordenado son riesgos que asume el banco a cambio de mejorar su servicio.

A veces asumen demasiados riesgos y a los bancos les roban. Pero no pueden restar la deuda que tienen con el cliente, simplemente deben asumir el robo y si les compensa mejorar sus medidas de seguridad para que no vuelva a ocurrir.
Mi yerno tiene la cuenta en Ibercaja, vio el mismo día que había hecho unos pedidos que no había hechoy en total le descontaron 1200€, puso denuncia en los mossos, fue a Ibercaja a decirlo, primero le pusieron muchas pegas, al día siguiente le llamaron para decirle que el banco no se lo iba a reponer, y a la hora ya lo tenía todo ingresado otra vez. No quiero pensar mal, pero este banco son unos piratas. Por cierto mi yerno es sargento de la guardia urbana de Barcelona, a lo mejor eso también tuvo algo que ver en la reposición del dinero.
#3 Es que a quien han robado es al banco.

El banco contrae una deuda con el cliente cuando éste les entrega dinero y solo puede reducirse esa deuda si el titular retira el dinero o el titular indica que hay que traspasarlo a otra persona.

Cualquier facilidad que ponga la banca para hacer eso sin verificar presencialmente que es el titular quien lo ha ordenado son riesgos que asume el banco a cambio de mejorar su servicio.

A veces asumen demasiados riesgos y a los bancos les roban. Pero no pueden restar la deuda que tienen con el cliente, simplemente deben asumir el robo y si les compensa mejorar sus medidas de seguridad para que no vuelva a ocurrir.
#4 El banco debe tener un seguro para cuando pasan cosas asi, en todo caso la culpa es del banco por no cerciorarse de que la empresa que pedía el pago era legal, no existía ni en internet, era todo muy sospechoso.
#5 #6 #7 El banco siempre es responsable. Si pagan un recibo que no es tuyo, o si se hacen con los datos de la tarjeta, y burlan las firmas únicas por operación, que es por donde pueden atacar este tipo de estafas.
Los sistemas actuales de firma única por operación mediante SMS o mediante sistemas encriptados a través de la propia aplicación del banco hacen casi imposible que te quiten la pasta sin que te enteres. No obstante aclaran en el artículo que es un pishing. Dicen que el enlace…   » ver todo el comentario
#4 A veces asumen demasiados riesgos y a los bancos les roban.

A más de un entendido le he leído que es un secreto a voces que a la banca le roban una buena cantidad de dinero anual desde siempre. El problema es que crear un sistema de seguridad verdaderamente robusto tiene un coste tan desorbitado que siempre les sale más barato asumir las pérdidas.

Además tienen el problema que un sistema seguro siempre sería poco atractivo para el cliente final, y para colmo hoy en día tienen que…   » ver todo el comentario
#16 a un banco medio grande le roban varios cientos de millones al año. No es ningún secreto.
#4 Tus argumentos son más filosóficos que reales.
#17 Que la banca contrae una deuda contigo es muy real, que no puede saldarla dándole dinero a otro que pasa por ahí es muy real también.

Y la banca lo sabe, y los jueces lo saben.
#18 La normativa europea es la confirmación por sms, no hace falta un android para eso, puedes tener un teléfono de los básicos de la era Nokia que se cumplirá la normativa europea.
#40 la confirmación por SMS es de lo más inseguro que hay.
#52 ¿Por qué? El banco te envía al instante un código por sms para completar la transacción, nada más.
#76 Porque el contenido del SMS se puede capturar si estás troyanizado.
#77 Aunque lo captures, no sirve para nada, porque no me llegaría a mí y no podría completar la transacción, así que me daría cuenta de que algo pasa con la confirmación con el SMS. Y al que captura el código que me enviaban en el sms, tampoco le sirve de nada, porque el banco envía un código para esa transacción específica que acabas de realizar. Ese código no sirve para otra transacción, que generará otro código.

Luego también, ¿Cómo se troyaniza un movil básico, de tipo Nokia clásico?
#78 ¿No te ha pasado nunca que te llega el sms dos minutos después y por impaciencia, vuelves a solicitar el reenvio? Hay mucha gente que no ve raro que un SMS le tarde o incluso no le llegue y lo vuelve a solicitar.
#76 porque los sms no van cifrados y se pueden capturar de la red.
Porque los grupos de crimen organizado llevan años clonando tarjetas sim para robar cuentas bancarias.
No hay sistema de seguridad que aguante frente a un usuario ignorante o desprevenido.
#10 Exacto, es que llama mucho la atención que la aplicación te pregunta (al menos en Android 9 y 10) si quieres entregar el control total de tu dispositivo o no.

Vamos, que van a robar a los descerebrados que pulsan con sus muñones sin conectar lo que pasa por sus ojos con su corteza cerebral
(es decir, el usuario medio xD )
#10 #15 Eso se arreglaba haciendo que dar un permiso tan sensible tuviera que ser aceptado 3 veces, cada una con un mensaje con letra más gorda de lo peligroso que es. No hay usuario ignorante que no se acojone ante tres avisos de que lo que está haciendo es peligroso.
#28 Jejeje.... ¿Qué no lo hay?

Jajaja, tu no has visto a algunos usuarios. xD
#38 A ver, ejemplos hay para todo. Pero te aseguro que la inmensa mayoría de la gente que acepta los avisos sin mirar, si le salen tres seguidos y con letras gordas de peligro está instantáneamente llamando a su hijo (por decir algo) acojonado por si la ha liado.
#28 Lamentablemente ni así alcanza, Desde el momento en que hay gente que da los datos de la cuenta bancaria por teléfono a un extraño que se hace pasar por empleado del banco, te darás cuenta que es prácticamente imposible crear un sistema que proteja a todos los usuarios.

Por eso, avancen lo que avancen la tecnología y los protocolos de seguridad, siempre va a haber gente que va a caer por más obvias que sean las estafas.
#15 O gente que no entiende lo que significa, como mi madre.
#47 Claro, claro, con la gente mayor no cuenta la frase que he dicho.
#10 Hay algo que no entiendo. Para poder instalar algo que no viene de la Play Store, primero tengo que configurar mi teléfono para que permita "instalar aplicaciones de fuentes externas". Esto no es una pregunta que te hace el móvil, te tienes que ir a la configuración.
#53 Hay gente que lo tiene totalmente abierto porque ya ha instalado cualquier apk de esos que te dan cosas "gratis" y no lo vuelve a dejar seguro.
#18 Sí, yo también ando por ahí, y la excusa tiene las patas muy cortas. El objetivo es probablemente (por no decir que seguro) el que tú dices, y la normativa europea la tenían cubierta con la tarjeta de coordenadas, pero parece que les ha servido el argumento para meternos sus apps con calzador. Lo que no entiendo es cómo tantos clientes han aceptado si son (imagino que no lo serán) conscientes de la abismal diferencia de seguridad entre usar una "app" de móvil y usar un ordenador en condiciones. Y ahora empiezan las estafas... Menuda sorpresa.
#34 de eso nada, precisamente la normativa PSD2 desde el 2019 prohíbe las tarjetas de coordenadas.
#56 Te devuelvo el negativo, no por compensar sino porque con intención o sin ella, desinformas. Desconozco tu motivación para defender esta práctica generalizada de los bancos, pero un poco sí que sé de lo que hablo. Infórmate de los temas antes de ir cascando negativos sin razón ninguna.
#65 yo también sé de lo que hablo, como que conozco a un ingeniero que trabaja en un gran banco y hoy mismo estuvo hablando del tema. Si tu sabes de lo que hablas sabrás lo que es la normativa PSD2 y que prohíbe las tarjetas de coordenadas, o te crees que los bancos últimamente las han estado quitando por amor al arte? No señor, porque están OBLIGADAS, alguna todavía escapa pero no será por mucho tiempo si quieren seguir ajustándose a normativa europea.

Y que casualidad, mi negativo fué también por desinformar al afirmar que la normativa la tenían cubierta con la tarjeta de coordenadas cuando eso a día de hoy no es así xD así que ala, te lo devuelvo también jaja
#56 Se me ha pasado hacerte la pregunta, que es a lo que iba: Si según tú las tarjetas de coordenadas están prohibidas desde el 2019, ¿Qué hacen algunos bancos usándolas en 2021? ¿O lo decías sólo por si colaba como excusa de que los bancos quieran meter a sus clientes la "app" por las orejas?

Edit: Te lo pongo como respuesta a #68 ya que me has contestado. Si haces el favor, me resuelves la duda (lo de que alguno "se escapa", me suena extraño si están prohibidas desde 2019, por no hablar de absolutamente NADIE LES OBLIGA A USAR UNA APP; LES OBLIGAN A USAR DOBLE VALIDACIÓN, LA CUAL PUEDE HACERSE COMO LES DÉ LA REAL GANA, NO CON UNA APP).
#69 a esos bancos simplemente les han dado más tiempo porque se excusan de que no han tenido suficiente para migrar a todos a otro sistema, pero no creo que puedan aguantar mucho más así.

Y yo no estoy justificando que los bancos quieran forzar a usar sus apps porque para empezar tampoco es así en la mayoría de casos, solamente me suena ING que estuvo prácticamente obligando a tenerla para operar.
#71 a esos bancos simplemente les han dado más tiempo porque se excusan de que no han tenido suficiente para migrar a todos a otro sistema

Mentira. Infórmate.
#teahorrounclick todo se basa en una app que te dice que va a controlar totalmente tu móvil. Y la gente la instala para recibir un paquete que no ha pedido.
#20 Y a eso lo llaman sofisticado virus, yo lo llamaría educado virus porque antes te pide permiso. Ya no se hacen virus como los de antes.
"Después hablamos con Isaac, dueño de una tienda de telefonía en Reinosa (Cantabria) donde repara terminales y soluciona problemas".
Mira qué bien, como el Sr. Lobo.
#13 - Joder, sólo cambiándole la pantalla, no puedo creer que sea el mismo móvil.
- Bueno, pero no empecemos a chuparnos las pollas todavía. Primera fase lista, ahora toca cambiarle a usted. Desnúdese.
- ¿Del todo?
- En pelota viva.
Otro de lo mismo...

"Pulsa aquí urlnadasospechosadeverdaddelabuena.ru.cn y luego descarga e instala esta app tan buena que necesitas para recoger un misterioso paquete.

Cualquiera menor de 60 años que pique con esto merece perder su dinero, está más seguro manos de los estafadores.
#27 espero que recapacites sobre el comentario tan miserable y prepotente que has hecho
#29 Buenooo... compungido me hallo tras tu demoledora acusación, "lo ziento mucho, no vodvedá a ocudid".
#27 ya, el problema es que:

1 . El paquete no es misterioso. Muchos en un momento dado tienen paquetes en trámites de entrega.
2. La URL no es más sospechosa que las que envía legítimas correos.
3. Si le explicas a mi madre de forma que lo entienda lo de los permisos, la cerveza la tienes pagada.

Sé que no es un "sofisticado virus" sino un troyano bastante bueno implementado con buena ingeniería social en un momento favorable. Pero hombre, hacer leña del árbol caído... no sé yo.
#31 Por eso hablaba de menores de 60 años (va, te lo bajo a 50).

Yo lo siento mucho pero no tener nociones básicas de seguridad informática hoy en día (no te instales cosas, no pinches en sitios raros...) es como excusar que una persona no sepa que no hay que cruzar semáforos en rojo. Los medios son muy aficionados a vender el titular "¡La terrible y sofisticada estafa!", y tiene de sofisticada lo que el mail del príncipe nigeriano...
#1 No la considero duplicada, en xataka está más explicada "para tontos" con pantallazos de las pantallas que salen. De todas formas, interesante que suban ambas, cuantos más avisos mejor. A mi ya me han llegado 3 SMSs de Fedex con esto.
#2 Y que los bancos sigan insistiendo en que es más segura la app móvil que usar exclusivamente un ordenador para los temas bancarios...
#8 La escusa es que es normativa europea, pero en realidad es para saber lo que buscás con la cookies y ofrecerte mierdas. Lo sé porque trabaje en un servicio de atención al cliente de un banco.
#8 yo no tengo banca online porque mi banco me obliga a hacerlo con su app.... asi que voy con la "cartilla" todos los meses a controlar. Me acaba de salir rentable la tranquilidad{lol}
#22 Bien hecho. ¿Y el banco que sea directamente no da ese servicio? Ya seas alguien que no tiene móvil, o demasiado mayor para las tecnologías, o lo que sea, ¿Directamente no dispone de interfaz online?
#35 tengo movil y 29 años xD

Es un banco aleman que tiene todo lo que cualquier banco normal tiene. Simplemente es un requisito activar todo con la app, y las contraseñas para autorizar las transacciones vienen tambien por esa via...
#41 Ya, joer, quería decir "alguien que sea...", aunque sí que es verdad que mi comentario se pudiera entender así. Pero no, no; no te estaba envejeciendo ni quitándote el móvil :-)
#8 La app del banco no hay que instalarla nunca. Que te manden los códigos o se entre de otra forma, pero no hay que instalar nada del banco. Android no tienen actualizaciones de seguridad rápidas como en el ordenador, incluso la mayoría de los Androids dejan de tener actualizaciones del fabricante.
Luego el banco te controla a las horas que usas las app, para que las usas, los productos que te interesan y encima con todo esto, cierran sucursales y servicios de atención al cliente.
Si el banco quiere que use su app, que me de un móvil para usar esa app, pero no hay que poner tu móvil a servicio del banco.
#8 y es más segura, que la gente sea toleta no es su culpa xD

A ver, aquí la culpa la repartiría en un 98% el usuario, Google un 1% y quizá los bancos el otro 1%.

Primero, el usuario por instalar a conciencia una app de fuente desconocida y darle todos los permisos que le pide.

Segundo, como esto siga así Google tendrá que hacer Android más restrictivo en cuanto a los permisos, o al menos la forma de concederlos, no es muy seguro que digamos que la propia app pueda hacer que salte un…   » ver todo el comentario
#64 como esto siga así Google tendrá que hacer Android más restrictivo en cuanto a los permisos

Ya, pero los bancos que mientras tanto fuerzan a sus clientes a usar el medio más inseguro que usamos a diario, el móvil, para las transacciones bancarias, tienen un 1% según tú de culpa y el usuario que se ve forzado a ello un 98%, ¿verdad? Se huelen intereses de algún tipo en tus comentarios...
#66 el móvil no es el medio más inseguro, o te tengo que recordar la de problemas que dan las apps de bancos cuando violas la seguridad rooteando el móvil? Actualmente no hacen casi nada más que advertirte y (esto no lo saben muchos) dejar un flag activado en el banco para intentar desentenderse si te pasa algo, echarte la culpa de haber usado la app en un móvil rooteado, pero sé de buena tinta que se van a poner más duras con el tema, por ejemplo empezarán a comprobar la firma de la ROM, bootloader, etc. para ver si no se ha modificado el terminal. La inseguridad la crea el usuario, al igual que ha pasado en los PCs.
#70 Recapitulando: Que sabes lo que sabes porque "conoces a uno que trabaja en un banco y justo hoy te ha dicho...", porque "sabes de buena tinta que...", y porque según tú que una app de un banco dé problemas cuando rooteas el móvil implica que es lo más seguro del mundo (tócate las narices).

Que la realidad sea que no pocos bancos en toda Europa siguen tranquilamente con sus tarjetas de coordenadas, aunque según tú lleven 2 años inclumpiendo la ley, no te hace sospechar que puedas estar soltando unas burradas como catedrales. Pues muy bien todo.
Si te tienes que descargar una aplicación y darle permisos para controlar todo tu teléfono no me parece tampoco lo mas sofisticado del mundo. Me parece el timo de la revisión del gas de toda la vida. Me parecería sofisticado si a través del enlace te infectara el teléfono con un virus en javascript que hiciera escalado de privilegios para instalar cosas sin tu permiso en el dispositivo. O incluso que fuera una interfaz en visualbasic para localizar tu ip.
#19 Lo último solo es posible si emites en tiempo real ;)
#46 Y debes programar a 4 manos en el mismo teclado.
No es solo de Fedex, llegan de mas agencias.
#9 Efectivamente. A mí en enero me llegó el mismo con el logo de DHL. Conmigo acertaron porque casualmente estaba esperando un paquete de esta agencia y pique. Instale la aplicación y empecé a ver cosas raras en el teléfono, lo primero es que habían tomado el control de los sms. Intento desinstalarla y era imposible, llamo a DHL y me confirman mis sospechas, ellos no usan ninguna app de seguimiento de envíos.
Ante esto desconecto el teléfono, extraigo la tarjeta y llamo al banco.
Tuve…   » ver todo el comentario
#32 también llegan mensajes de Seur
#55 Si. A mí me han llegado también de correos, y de amazon.
No hay escalada de privilegios. Es el usuario el que configura el sistema para que se pueda instalar y luego le da permisos para controlar el teléfono como si fuera una aplicación de accesibilidad.

En fin, en este mundo hay demasiado incompetente con pistola.
Tan sofisticado el SMS no es, en todo caso lo es el programa si puede acceder a otras aplicaciones. El SMS simplemente tiene una URL.

Es como decir que en un edificio de pisos con ascensor lo sofisticado no es el ascensor, sino la puerta por la cual accedes al edificio. ¡¡¡Que es una simple puerta!!!
#12, ahora ya es raro usar las claves, se suelen confirmar las operaciones con una aplicación en el móvil. Y si esta aplicación del meneo es capaz de acceder a esta, ya te tiene controlado.
Pero entiendo que si tienes un límite de transferencias, no deberian poder vaciarte la cuenta. Yo he puesto 3.000 euros, y si algún día necesito hacer un pago voy al banco y lo aumento en el momento. ¿O pueden saltarse este límite?
#6 Toman control del mivil, pueden cambiar el limite a placer
#12 #11 Yo no puedo cambiar el límite de transferencias desde el móvil. Tengo que ir a la oficina. Es Abanca.
#6 si tiene las claves para cambiar los límites...
respecto a las culpas, que antes me lié con lo de la seguridad del medio... sigo pensando lo mismo, tampoco se le puede atribuir toda la responsabilidad al banco, después de todo en este caso han habido factores ajenos a ellos como que el usuario se instale y conceda tantos permisos a una app descargada de una web, y que también Android no sea más restrictiva a la hora de pedir semejante permiso como es el de accesibilidad. Sin embargo visto lo visto con esto y con lo del clonado de SIMs sí que…   » ver todo el comentario
infórmate tú, punto 1 de "pagos electrónicos": www.helpmycash.com/banco/psd2/  media
Yo he recibido dos mensajes muy parecidos que olían a estafa desde lejos  media
#36 El otro

Vigilad  media
#36 y #37, a un familiar le han llegado 3 SMS por el estilo. Desde tres números móviles distintos.

He contactado con ellos por Whatsapp (desde un número de teléfono no personal por si las moscas...) con los 3 para avisar que los estafadores están usando su móvil.

Efectivamente uno me ha dicho que ya se dio cuenta y lo limpió esta mañana. Otro directamente no lo sabía. El tercero, tengo la duda de si lo ha limpiado bien o no, y le he dado un poco de lata con que busque información y ayuda de alguien de confianza.
Vaya, al parecer en un iPhone el riesgo es mucho menor, qué raro... :-)
#24 cuando te compras un iPhone ya te han estafado :troll:
Quiero pensar que pillarán a esos hijos de puta; hay mucho donde se puede rastrear para dar con ellos, si es cierto que han estafado a tanta gente caerán pronto.
#61 Seguro, los van a ir a buscar a EAU, o a Afganistán, o a Rusia, o a Colombia... Fijo que sí.

Edito: Que conste que yo también querría que los pillaran.
#62 #62 Ya los han detenido, en Barcelona (pero son Rusos casi 100%) twitter.com/mossos/status/1367797770522943489
#82 Pues me alegro un montón. Y de paso me la envaino, porque #61 tenía razón.

Chapó por los mossos.
Me surge una duda, a ver si alguien puede responder: si uno accede a las apps del banco únicamente con su huella digital, es decir, no usas el teclado para introducir login ni password, ¿estas aplicaciones falsas pueden igualmente acceder a tu cuenta y vaciarte la cuenta?
"Un usuario de forocoches"..., jajajaja
Pasaos a IOS insensatos!
#44 he aquí otro SMS que te quiere estafar
comentarios cerrados

menéame